Compartir a través de

Migración a Microsoft Sentinel con la experiencia de migración de SIEM

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal

La herramienta de migración DE SIEM analiza las detecciones de Splunk, incluidas las detecciones personalizadas, y recomienda reglas de detecciones de Microsoft Sentinel más adecuadas. También proporciona recomendaciones para los conectores de datos, tanto los conectores de Microsoft como los de terceros disponibles en el Centro de contenido para habilitar las detecciones recomendadas. Los clientes pueden realizar un seguimiento de la migración asignando el estado correcto a cada tarjeta de recomendación.

Nota:

La herramienta de migración antigua está en desuso. En este artículo se describe la experiencia actual de migración de SIEM.

La experiencia de migración de SIEM incluye las siguientes características:

  • La experiencia se centra en la migración de la supervisión de seguridad de Splunk a Microsoft Sentinel y en la asignación de reglas de análisis integradas (OOTB) siempre que sea posible.
  • La experiencia admite la migración de detecciones de Splunk a reglas de análisis de Microsoft Sentinel.

Requisitos previos

Nota:

Aunque necesita tener Security Copilot habilitado en su cliente, no consume ningún SCU, por lo que no incurre en costos adicionales. Para asegurarse de que no incurra en costos accidentales después de configurarlo, vaya a Administración del área de trabajo>Supervisión de uso, establezca las SCUs en cero y asegúrese de que el uso de unidades en exceso esté deshabilitado.

Captura de pantalla de la configuración de supervisión del uso de Security Copilot.

Exportación de reglas de detección desde el SIEM actual

En la aplicación Buscar e informes de Splunk, ejecute la siguiente consulta:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Necesita un rol de administrador de Splunk para exportar todas las alertas de Splunk. Para obtener más información, consulte Acceso de usuario basado en roles de Splunk.

Inicio de la experiencia de migración de SIEM

Después de exportar las reglas, haga lo siguiente:

  1. Ir a security.microsoft.com.

  2. En la pestaña Optimización de SOC , seleccione Configurar el nuevo SIEM.

    Captura de pantalla de la opción Configurar el nuevo SIEM en la esquina superior derecha de la pantalla Optimización de SOC.

  3. Seleccione Migrar desde Splunk:

    Captura de pantalla de la opción Migrar desde SIEM actual.

  4. Cargue los datos de configuración que exportó desde el SIEM actual y seleccione Siguiente.

    Captura de pantalla del botón Cargar archivo para cargar los datos de configuración exportados.

    La herramienta de migración analiza la exportación e identifica el número de orígenes de datos y reglas de detección en el archivo proporcionado. Utilice esta información para confirmar que tiene el archivo de exportación correcto.

    Si los datos no son correctos, seleccione Reemplazar archivo en la esquina superior derecha y cargue una nueva exportación. Cuando se cargue el archivo correcto, seleccione Siguiente.

    Captura de pantalla de la pantalla de confirmación que muestra el número de orígenes de datos y reglas de detección.

  5. Seleccione un área de trabajo y, a continuación, seleccione Iniciar análisis.

    Captura de pantalla de la interfaz de usuario que pide al usuario que seleccione un área de trabajo.

    La herramienta de migración asocia las reglas de detección con los orígenes de datos y las reglas de detección de Microsoft Sentinel. Si no hay recomendaciones en el área de trabajo, se crean recomendaciones. Si hay recomendaciones existentes, la herramienta las elimina y las reemplaza por otras nuevas.

    Captura de pantalla de la herramienta de migración lista para analizar las reglas.

  6. Actualice la página y seleccione el estado de análisis de configuración de SIEM para ver el progreso del análisis:

    Captura de pantalla del estado de análisis de configuración de SIEM que muestra el progreso del análisis.

    Esta página no se actualiza automáticamente. Para ver el estado más reciente, cierre y vuelva a abrir la página.

    El análisis se completa cuando las tres marcas de verificación son verdes. Si las tres marcas de verificación son verdes, pero no hay recomendaciones, significa que no se encontraron coincidencias para tus reglas.

    Captura de pantalla que muestra las tres marcas de verificación verde que indican que el análisis está completo.

    Cuando se completa el análisis, la herramienta de migración genera recomendaciones basadas en casos de uso, agrupadas por soluciones de Content Hub. También puede descargar un informe detallado del análisis. El informe contiene un análisis detallado de los trabajos de migración recomendados, incluidas las reglas de Splunk para las que no hemos encontrado una buena solución, no se detectaron o no son aplicables.

    Captura de pantalla de las recomendaciones generadas por la herramienta de migración.

    Filtre el tipo de recomendación por el programa de instalación de SIEM para ver las recomendaciones de migración.

  7. Seleccione una de las tarjetas de recomendación para ver los orígenes de datos y las reglas mapeadas.

    Captura de pantalla de una tarjeta de recomendación.

    La herramienta compara las reglas de Splunk con los conectores de datos integrados de Microsoft Sentinel y con las reglas de detección integradas de Microsoft Sentinel. La pestaña Conectores muestra los conectores de datos coincidentes con las reglas de SIEM y el estado (conectado o no desconectado). Si desea usar un conector que no está conectado, puede conectarse desde la pestaña conector. Si un conector no está instalado, vaya al centro de contenido e instale la solución que contiene el conector que desea usar.

    Captura de pantalla de los conectores de datos de Microsoft Sentinel coincidentes con las reglas de Splunk o QRadar.

    La pestaña de detecciones muestra la siguiente información:

    • Recomendaciones de la herramienta de migración de SIEM.
    • La regla actual de detección de Splunk del archivo cargado.
    • Estado de la regla de detección en Microsoft Sentinel. El estado puede ser:
      • Habilitado: la regla de detección se crea a partir de la plantilla de regla, habilitada y activa (a partir de una acción anterior)
      • Deshabilitado: la regla de detección se instala desde el centro de contenido, pero no está habilitada en el área de trabajo de Microsoft Sentinel.
      • No está en uso: la regla de detección se instaló desde el centro de contenido y está disponible como plantilla para habilitarse.
      • No instalado: la regla de detección no se instaló desde el centro de contenido
    • Los conectores necesarios que deben configurarse para traer los registros necesarios para la regla de detección recomendada. Si un conector necesario no está disponible, hay un panel lateral con un asistente para instalarlo desde el Centro de contenido. Si todos los conectores necesarios están conectados, aparece una marca de verificación verde.

    Captura de pantalla de las reglas de detección de Microsoft Sentinel que coinciden con las reglas de Splunk o QRadar.

Habilitación de reglas de detección

Al seleccionar una regla, se abre el panel lateral de detalles de las reglas y puede ver los detalles de la plantilla de reglas.

Captura de pantalla del panel lateral de detalles de la regla.

  • Si el conector de datos asociado está instalado y configurado, seleccione Habilitar detección para habilitar la regla de detección.

    Captura de pantalla del botón Habilitar detección en el panel lateral de detalles de la regla.

  • Seleccione Más acciones>Crear manualmente para abrir el Asistente para reglas de análisis para que pueda revisar y editar la regla antes de habilitarla.

  • Si la regla ya está habilitada, seleccione Editar para abrir el Asistente para reglas de análisis para revisar y editar la regla.

    Captura de pantalla del botón Más acciones del asistente de reglas.

    El asistente muestra la regla SPL de Splunk y puede compararla con el KQL de Microsoft Sentinel.

    Captura de pantalla de la comparación entre la regla SPL de Splunk y KQL de Microsoft Sentinel.

Sugerencia

En lugar de crear reglas manualmente desde cero, puede ser más rápida y sencilla habilitar la regla desde la plantilla y, a continuación, editarla según sea necesario.

Si el conector de datos no está instalado y configurado para transmitir registros, habilitar la detección está deshabilitado.

  • Puede habilitar varias reglas a la vez activando las casillas situadas junto a cada regla que quiera habilitar y seleccionando Habilitar detecciones seleccionadas en la parte superior de la página.

    Captura de pantalla de la lista de reglas de la pestaña detección con casillas junto a ellas.

La herramienta de migración de SIEM no instala explícitamente ningún conector ni habilita las reglas de detección.

Limitaciones

  • La herramienta de migración asigna las reglas exportadas a los conectores de datos integrados y a las reglas de detección integradas de Microsoft Sentinel.
  • Last updated on